Wie legst du das richtige SIL – Sicherheitsintegritätslevel für deine Maschine fest? Die Antwort beginnt bei EN IEC 62061, der harmonisierten Norm für funktionale Sicherheit elektrischer, elektronischer und programmierbarer Steuerungen. Dieser Leitfaden zeigt, wie du Sicherheitsfunktionen ableitest, das erforderliche SIL bestimmst, den Nachweis führst und was den Unterschied zu Performance Level (PL) aus EN ISO 13849-1 ausmacht.
Wir führen dich Schritt für Schritt durch den Prozess – von der Risikobeurteilung über die Auswahl der Architektur und die PFHD-Berechnung bis zur Validierung und zum Betrieb. Ziel: Du triffst fundierte Design-Entscheidungen, minimierst das Risiko und hältst den Nachweis für Audits und CE-Dokumentation sauber bereit.
Spis Treści
Was bedeutet SIL – Sicherheitsintegritätslevel?
Das SIL – Sicherheitsintegritätslevel beschreibt die geforderte Zuverlässigkeit einer Sicherheitsfunktion im Hinblick auf gefährliche Ausfälle. EN IEC 62061 definiert für Maschinen drei anwendbare Stufen: SIL 1, SIL 2 und SIL 3. SIL 4 existiert in IEC 61508, spielt im Maschinenbau jedoch praktisch keine Rolle, da die Anforderungen Anwendungen mit extremem Risiko (z. B. nuklear, Bahn, Luftfahrt) vorbehalten sind.
Für kontinuierliche oder hohe Anforderungsraten verwendet EN IEC 62061 die Kennzahl PFHD (Probability of dangerous Failure per Hour). Die zulässigen Intervalle lauten:
- SIL 1: 1 × 10−6 ≤ PFHD < 1 × 10−5
- SIL 2: 1 × 10−7 ≤ PFHD < 1 × 10−6
- SIL 3: 1 × 10−8 ≤ PFHD < 1 × 10−7
Je kleiner der PFHD-Wert, desto höher die Integrität. Das SIL gilt nie „global“ für eine Maschine, sondern immer für eine konkrete Sicherheitsfunktion (z. B. Schutzkreis für geöffnete Schutztür, sicher begrenzte Geschwindigkeit, zweikanaliger Nothalt).
Von der Gefährdung zur Anforderung: Methodik nach EN IEC 62061
Bevor du Bauteile auswählst, definierst du den Sicherheitsbedarf. Grundlage ist die systematische Risikobeurteilung. Aus ihr leitest du die notwendigen Sicherheitsfunktionen ab und bestimmst das Ziel-SIL für jede Funktion.
Schritt 1: Ziel für SIL – Sicherheitsintegritätslevel festlegen
EN IEC 62061 bewertet vier Kriterien, aus denen sich das Ziel-SIL ergibt:
- Schweregrad möglicher Verletzungen (C)
- Häufigkeit und Dauer der Exposition (F)
- Wahrscheinlichkeit des eintretenden gefährlichen Ereignisses (P)
- Möglichkeit der Gefahrenvermeidung oder -minderung (A)
Diese Merkmale führst du über eine normkonforme Matrix zusammen. Ein Beispiel: schwere Verletzungen (hoch), häufige Exposition, mittlere Eintrittswahrscheinlichkeit und begrenzte Möglichkeit zur Vermeidung – das resultiert typischerweise in einem Ziel-SIL 2 für die jeweils betrachtete Funktion.
Schritt 2: Sicherheitsfunktionen definieren und abgrenzen
Beschreibe klar, was die Sicherheitsfunktion leisten muss und wann sie wirkt: auslösende Zustände, Reaktionslogik, maximale Reaktionszeit, sicherer Endzustand. Lege die Grenzen des sicherheitsbezogenen Steuerungssystems fest (Sensoren, Logik, Aktoren) und berücksichtige mechanische oder hydraulische Elemente, wenn sie zum sicheren Abstellen beitragen.
Schritt 3: Architektur wählen und PFHD nachweisen
Nun entscheidest du über Struktur und Diagnostik. Typische Architekturen sind 1oo1, 1oo2 oder 2oo3. Redundanz und Diagnosedeckung (Diagnostic Coverage, DC) erhöhen die Entdeckungswahrscheinlichkeit gefährlicher Fehler und senken so den PFHD.
- Komponentenkennwerte: Hersteller liefern Daten wie PFHD einzelner Kanäle, B10d für Schaltelemente, Testintervalle und Diagnosefähigkeiten.
- Berechnung: Summiere die Beitragspflichten entlang der Kette Sensor–Logik–Aktor, berücksichtige gemeinsame Ursachefehler (CCF) und Prüfintervalle.
- Architektureinschränkungen: Prüfe, welches SIL mit der gewählten Struktur und DC maximal erreichbar ist.
Systemdesign für SIL – Sicherheitsintegritätslevel in der Praxis
In der Praxis kombinierst du bewährte Bausteine mit einer eindeutigen Sicherheitslogik. Ziel ist eine robuste, fehlertolerante Funktion, die im Fehlerfall stets den sicheren Zustand erreicht und das geforderte PFHD unterschreitet.
Auswahl von Sensoren, Logik und Aktoren
- Sensoren: berührungslos kodierte Schutztürsensoren, zweikanalige Lichtgitter, Sicherheitspositionsschalter – jeweils mit ausreichender Diagnose und Manipulationssicherheit.
- Logik: Sicherheits-SPS oder zertifizierte Relaismodule mit nachgewiesener systematischer Fähigkeit (Systematic Capability) für das Ziel-SIL.
- Aktoren: zweikanalige Abschaltglieder (z. B. zwei Schütze mit zwangsgeführten Hilfskontakten), sichere Ventile in hydraulischen/pneumatischen Kreisen.
Plane die Energieentkopplung so, dass ein einzelner gefährlicher Ausfall nicht zum Verlust der Abschaltfunktion führt. Dokumentiere die Rückführung der Diagnose (Rücklesung der Schützkontakte, Ventilstellung) in die Logik, um gefährliche Fehler rechtzeitig zu erkennen.
Systematische Sicherheit und Software
Neben Zufallsfehlern adressiert EN IEC 62061 systematische Fehler durch Prozesse. Verwende qualifizierte Entwicklungs- und Änderungsprozesse, Bibliotheksbausteine mit dokumentierter Eignung und definierte Prüfmaßnahmen (z. B. Reviews, statische Analysen, White-Box-Tests). Weise die systematische Fähigkeit der eingesetzten Geräte nach, damit sie das Ziel-SIL unterstützen.
Verifikation, Validierung und Nachweisführung für SIL – Sicherheitsintegritätslevel
Verifikation prüft die technische Richtigkeit (Berechnungen, Architekturgrenzen, CCF-Maßnahmen). Validierung belegt, dass die Sicherheitsfunktion in der realen Maschine wie gefordert wirkt. Beide Schritte sind obligatorisch und müssen nachweisbar dokumentiert sein.
- Funktionstests: Auslösen aller Sensoren, Messung der Reaktionszeiten, Prüfung des sicheren Endzustands.
- Fehlerinjektion: Simuliere plausible Fehler (z. B. Kontaktkleben, Drahtbruch), verifiziere Diagnoseerkennung und sichere Reaktion.
- Dokumentation: Lasten- und Pflichtenheft, Sicherheitsanforderungsspezifikation (SRS), Berechnungsnachweise (PFHD), Prüfprotokolle, Freigaben.
Denk an die Rückwirkungsfreiheit: Sicherheitsfunktionen dürfen sich gegenseitig nicht negativ beeinflussen. Weisen die Tests das nach, stärkst du den Audit-Trail und reduzierst spätere Diskussionen mit Prüfern.
Betrieb, Prüffristen und Änderungen im Lebenszyklus
Das geforderte SIL gilt über die gesamte Lebensdauer. Lege Prüfintervalle (Proof Tests) fest, die mit den Annahmen deiner PFHD-Berechnung übereinstimmen. Dokumentiere Ergebnisse, behebe Abweichungen zügig und analysiere wiederkehrende Befunde.
- Instandhaltung: Qualifizierte Personen, Ersatzteile mit gleicher oder höherer Eignung, dokumentierte Rückführung in Betrieb.
- Änderungen: Jede Modifikation an Sensorik, Logik, Aktorik oder Software erfordert eine Neubewertung des PFHD und bei Bedarf eine erneute Validierung.
- Obsoleszenz: Plane Ersatzstrategien für abgekündigte Komponenten und halte die Sicherheitsnachweise aktuell.
SIL versus Performance Level (PL): Unterschiede, Gemeinsamkeiten, Auswahl
EN ISO 13849-1 (PL) entstand mit Fokus auf Maschinen und kombiniert Kategorien, mittlere Ausfallwahrscheinlichkeit (MTTFd), Diagnosedeckung (DC) und CCF. EN IEC 62061 (SIL) lehnt sich enger an IEC 61508 an und nutzt PFHD als primären Zielwert. Beide Normen sind harmonisiert und in der Praxis kompatibel. Grob gilt: SIL 3 entspricht der Zuverlässigkeit von PL e, SIL 2 etwa PL d.
- Wann PL? Häufig bei klassischen Maschinensteuerungen mit Kategorien und gemischten Technologien.
- Wann SIL? Bei komplexen Steuerungen, hoher Diagnostik, vernetzten Linien oder wenn PFHD-basierte Nachweise gefordert sind.
- Wechselwirkung: Ergebnisse lassen sich sinnvoll übertragen, sofern die Annahmen (Architektur, Testintervalle, Diagnosen) konsistent bleiben.
Praxis-Hinweis: Nicht jede Architektur erlaubt das höchste Ziel (z. B. PL e oder SIL 3). Häufig limitiert die Struktur der Aktorik (einzelnes Schütz, fehlende Diagnose). Plane Redundanz und Rücklesung früh – spätere Umbauten sind teuer.
Typische Fehler und Best Practices
- Unpräzise SRS: Ohne klare Sicherheitsanforderungen schleichen sich Lücken in Funktion, Reaktionszeiten und Grenzwerten ein.
- Nur Komponenten- statt Systemblick: Einzelwerte sind gut, entscheidend ist die Kette Sensor–Logik–Aktor inklusive Verdrahtung, CCF und Diagnose.
- Fehlende Fehlerinjektion: Ohne gezielte Fehlerprüfungen bleibt die Diagnoseleistung theoretisch.
- Falsche Prüfintervalle: Stimmen Proof-Tests nicht mit der PFHD-Annahme überein, verliert der Nachweis seine Gültigkeit.
- Mangelhafte Änderungslenkung: Kleine Software-Änderungen können das SIL unbemerkt untergraben – change control ist Pflicht.
- Best Practice: Frühzeitig Ziel-SIL je Funktion festlegen, SRS schreiben und die Architektur darauf ausrichten.
- Best Practice: Zertifizierte Geräte mit dokumentierter systematischer Fähigkeit verwenden und Herstellerdaten konsequent in die Berechnung übernehmen.
- Best Practice: Validierungsplan parallel zur Konstruktion erstellen – so prüfst du genau das, was du spezifizierst.
Praxisbeispiel: Roboterzelle und ihr SIL – Sicherheitsintegritätslevel
Ausgangslage: Eine Roboterzelle übernimmt das Palettieren schwerer Kartons. Mitarbeitende betreten den Arbeitsraum zum Rüsten regelmäßig. Gefährdungen: Quetschen/Schlagen durch Robotik, unkontrollierte Bewegung beim Öffnen der Tür, Restenergie im Greifer.
- Risikobeurteilung: schwere Verletzung (hoch), häufige Exposition, mittlere Eintrittswahrscheinlichkeit, begrenzte Vermeidbarkeit → Ziel-SIL 2 für „Stopp bei geöffneter Tür“.
- Sicherheitsfunktion: Öffnen der Tür führt zum sicheren Halt mit sicher abgeschalteter Antriebsenergie; Reaktionszeit ≤ 200 ms; Freigabe nur bei verriegelter Tür und bestätigtem sicheren Zustand.
- Architektur: Zweikanaliger, kodierter Türsensor; Sicherheits-SPS; zweikanalige Abschaltung der Servoantriebe mit Rücklesung der Schützkontakte; sichere Entlüftung des Greifers.
Berechnung und Nachweis: Herstellerdaten ergeben PFHD-Werte pro Kanal. Mit hoher Diagnosedeckung (Rücklesung, zyklische Tests) liegt die Gesamt-PFHD im Intervall für SIL 2. Verifikation dokumentiert Architekturgrenzen und CCF-Maßnahmen. Die Validierung bestätigt Reaktionszeit und sicheren Endzustand – inklusive Fehlerinjektion (Kontaktkleben, Drahtbruch, Sensorausfall).
Ergebnis: Die Funktion erreicht SIL 2 mit ausreichender Reserve. Prüfintervalle und Instandhaltung sind in der Betriebsanweisung verankert; Änderungen an Roboterprogramm oder Sicherheits-SPS unterliegen einem geregelten Change-Prozess.
Fazit: Den richtigen SIL – Sicherheitsintegritätslevel erreichen
Wer das SIL – Sicherheitsintegritätslevel beherrscht, gestaltet Sicherheitsfunktionen zielgenau statt nach Bauchgefühl. Der Weg ist klar: Risiko bewerten, SRS definieren, geeignete Architektur wählen, PFHD rechnerisch belegen, valide testen und über den Lebenszyklus konsistent betreiben. Ob du EN IEC 62061 (SIL) oder EN ISO 13849-1 (PL) bevorzugst – entscheidend ist ein stringenter, dokumentierter Prozess, der zur Maschine und zum realen Risiko passt.